Case Study

Implementierung eines Identity & Access Management Systems an einem deutschen Airport

Die Herausforderung

Die Sicherheitsanforderungen, die Airports zu erfüllen haben, betreffen nicht nur Gelände, Gebäude und Equipment. Insbesondere die Airport-Mitarbeiter unterliegen gestiegenen Sicherheitsanforderungen, deren Einhaltung durch das Airport-Management sicherzustellen ist.

Das IT-Management unseres Kunden erhielt den Auftrag, die Erfüllung dieser Anforderungen zu prüfen und zielgerecht zu strukturieren. Im Ergebnis sollte eine neue Arbeitsgrundlage geschaffen werden, mit deren Hilfe sowohl bestehende als auch zukünftige Sicherheitsanforderungen effizient und wirtschaftlich erfüllt werden sollten. Diese Zielsetzung war nicht einfach zu erreichen: Am Airport beschäftigten u. a Airlines und Lieferfirmen zahlreiche externe Mitarbeiter. Einige dieser Unternehmen wiesen eine hohe Mitarbeiterfluktuationsrate auf. Mit jedem Mitarbeiterwechsel änderten sich die für diese Mitarbeiter vorzuhaltenden Daten – insbesondere deren Rechte und Pflichten. Außerdem wurden diese Daten häufig bedarfsbezogen über verschiedene Verzeichnisse verteilt gespeichert. Die Beantwortung spezifischer Sicherheitsanfragen erforderte in der Folge eine Datenkonsolidierung und führte zu kritischen Verzögerungen.

In enger Zusammenarbeit mit der IT-Abteilung und den Personal- und Sicherheitsabteilungen des Airports galt es daher, die Identitätsdaten von ca. 20.000 internen und externen Mitarbeitern sowie deren Zugriffsrechte auf die IT-Systeme des Airports neu zu strukturieren. Dabei galt es, alle rechtlichen Anforderungen zu berücksichtigen und die Voraussetzungen für eine effiziente, die Datenkonsistenz wahrende Realtime-Bearbeitung zu schaffen.

Alle relevanten Identitätsdaten der Mitarbeiter waren zu diesem Zeitpunkt zwar in ihren jeweiligen originären Datenhaltungssystemen verfügbar. Es musste aber zunächst eine Überprüfung hinsichtlich der Eindeutigkeit, Vollständigkeit und Korrektheit dieser Daten erfolgen. Danach sollte für jeden Mitarbeiter eine einzige „digitale Wahrheit“ generiert und ab diesem Zeitpunkt durch ein integriertes Identity & Access Management System (IAM) verwaltet werden. Änderungen an den Identitätsdaten sollten nunmehr in Echtzeit verarbeitet werden. Auf Basis des IAM sollte zudem der Zugriff auf die IT-Systeme des Airports geregelt und dokumentiert werden.

Die Lösung

Phasenweise Implementierung

Die Experten unseres Unternehmens analysierten zunächst die Struktur der Identitätsdaten in den bestehenden Verzeichnissen. Relevante Identitätsattribute wurden mit den betroffenen Fachbereichen und dem Betriebsrat abgestimmt. Danach erfolgte die Lösungsspezifikation, u. a. die Definition der Schnittstellen, über die das zukünftige IAM-System Zugriff auf relevante Daten erhalten sollte. In enger Kooperation mit dem Einkauf wurden marktgängige IAM-Technologien im Rahmen eines Bieterverfahrens bewertet und eine geeignete Technologie ausgewählt. Nach der Beschaffung dieser Technologie wurde sie für ihren spezifischen Einsatz am Airport konfiguriert. Zudem wurden die notwendigen Schnittstellen und Konsolidierungsroutinen programmiert und getestet. Der Pilotbetrieb des neuen IAM-Systems konnte bereits nach zwölf Monaten starten.

Schnelle Erfolge bereits im Pilotbetrieb

Schnell zeigten sich erste Erfolge: Es konnten Inkonsistenzen unter den bestehenden Verzeichnissystemen identifiziert und konkrete Handlungsanweisungen an die jeweiligen Datenverantwortlichen formuliert werden. Der Datenumfang des neuen IAM wurde schrittweise gefüllt und für jeden Mitarbeiter ein eindeutiger Identitätsdatensatz erzeugt. Der mittels automatisierter Datenabgleichroutinen stets aktuell gehaltene Datenbestand bildet nunmehr die Basis für die Access-Management-Verfahren, über die Mitarbeiter auch von zu Hause aus via Internet auf ausgewählte IT-Systeme des Airports zugreifen können.

Das Ergebnis: Deutlicher Sicherheitsgewinn und gestiegener Anwendernutzen

Im Ergebnis konnte das Projekt mit klarem Nutzen sowohl für die Mitarbeiter als auch für das Airport-Management abgeschlossen werden: Die durch die Personalabteilung und den Betriebsrat freigegebenen Identitätsattribute und deren jeweilige Verwendung sind heute über das IAM-System ad hoc und mit aktuellem Inhalt verfügbar. Änderungen dieser Daten werden dokumentiert und bieten allen Beteiligten eine lückenlose Darlegung des Datenlebenszyklus. Das auf Basis des IAM-Datenbestandes arbeitende Access Management ermöglicht Mitarbeitern via Internet einen komfortablen Remote-Zugang zu den für sie relevanten Systemen. Die zentralisierte Verwaltung von Identitätsdaten im IAM-System gewährleistet im Bedarfsfall aber auch ein kontrolliertes und unverzügliches Handeln, falls eine Sperrung von Zugangsrechten erforderlich wird.

Auftragsgemäß erfüllt das IAM-System die an den Airport gestellten Sicherheitsanforderungen und bietet darüber hinaus auch ausreichend Potenzial für den Ausbau und die Erfüllung zukünftiger Sicherheitsanforderungen.